Beantwortet: PP-OVPN-Client(linux) mit einkompiliertem AES?

[DR-$]

Hi,

ist das ggf. irgendwann geplant? Damit die HW-Unterstützung der CPU für AES (-NI) zur Senkung der Last genutzt werden kann? Ich gehe davon aus, dass das auf den Servern bereits gemacht wurde.

Klar - openvpn mit aes kann ich mir auch so einkompilieren, aber ich finde den PP-VPN Client so toll

Gruß,
DR

 

[PP Frank]

Auf den Servern ist das definitiv der Fall. Soweit mir bekannt aber auch auf den Endgeräten. Wie kommst du denn darauf, dass dies nicht der Fall ist? Hast du das irgendwie geprüft?

 

[DR-$]

Hi,

ich denke mir einach, dass Ihr das nicht mit einkompiliert habt bei den Clients.
Ihr könnt ja nicht davon ausgehen, dass jeder der den Client nutzt auch CPU-seitig eine AES HW Unterstützung besitzt bzw. aktiv habt. Diese würdet Ihr ja dann somit aussperren. Regulär ist der AES-Support(in Hardware) bei OpenVPN schließlich nicht vorhanden.

War nur so eine Überlegung. Da bei mir bei etwa 20-30 Mb/s Durchsatz der OpenVPN-Clientprozess schon mit 50% - 70& cpu-Last auf einem Kern eines i5-2540M aufschlägt

Gruß,
DR

 

[PP Frank]

Puh, da muss ich selber erstmal nachfragen. Das weiss ich ehrlich gesagt nicht.

 

[DR-$]

Hi,

kein Problem ;-). Wenn nicht ist das nicht besonders tragisch, wäre dann evtl. etwas für die ToDo-Liste für die Optimierung (wobei dann der Thread hier am falschen Platz ist), und wenns bereits integriert ist - hey cool! ;-)

Gruß,
DR

 

[JackCarver]

Klar - openvpn mit aes kann ich mir auch so einkompilieren

Es liegt nicht am einkompilierten AES in OpenVPN, da OpenSSL die Ver/Entschlüsselung leistet. OpenSSL muss die AES-NI Instruktionen unterstützen und dann in OpenVPN gelinkt werden, dann kann man den Speedvorteil ausnutzen.

Ob allgemein eine OpenSSL Version das unterstützt kann man so testen:

openssl speed aes-128-cbc

Dann vergleicht man die Ausgaben mit:

openssl speed -evp aes-128-cbc

Die Ausgaben des zweiten Befehls sind bei mir um den Faktor 3 höher.